LIETUVOS BANKO VALDYBA
NUTARIMAS
DĖL VALDYMO ĮMONIŲ RIZIKOS VALDYMO REIKALAVIMŲ TAISYKLIŲ PATVIRTINIMO
2016 m. vasario 11 d. Nr. 03-26
Vilnius
Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 3 dalies 1 punktu, Lietuvos Respublikos kolektyvinio investavimo subjektų įstatymo 15 straipsnio 6 ir 10 punktais ir Lietuvos Respublikos papildomo savanoriško pensijų kaupimo įstatymo 8 straipsnio 4 punktu, Lietuvos banko valdyba n u t a r i a:
PATVIRTINTA
Lietuvos banko valdybos
2016 m. vasario 11 d.
nutarimu Nr. 03-26
VALDYMO ĮMONIŲ RIZIKOS VALDYMO REIKALAVIMŲ TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valdymo įmonių rizikos valdymo reikalavimų taisyklėse (toliau – Taisyklės) nustatyti pagrindiniai rizikos valdymo principai, kuriais turi vadovautis valdymo įmonės, kad jų rizikos valdymas būtų tinkamai organizuotas, veiksmingas ir užtikrintų saugią, stabilią ir patikimą veiklą.
2. Taisyklėse išdėstyti reikalavimai taikomi pagal Lietuvos Respublikos kolektyvinio investavimo subjektų įstatymą ir (arba) Lietuvos Respublikos papildomo savanoriško pensijų kaupimo įstatymą, ir (arba) Lietuvos Respublikos profesionaliesiems investuotojams skirtų kolektyvinio investavimo subjektų valdymo įmonių įstatymą veikiančioms valdymo įmonėms, taip pat įmonėms, kurios kreipiasi į Lietuvos banką dėl valdymo įmonės licencijos išdavimo (toliau – įmonė).
3. Taisyklėse vartojamos sąvokos:
3.1. kredito rizika – tikimybė patirti nuostolių dėl to, kad sandorio šalis nesugebės atsiskaityti sutartyje nustatyta tvarka;
3.2. likvidumo rizika – tikimybė, kad dėl lėšų trūkumo įmonės įsipareigojimams vykdyti teks parduoti įmonės turtą arba jo dalį, pritraukti papildomų lėšų nepalankiomis rinkos sąlygomis ir dėl to patirti nuostolių;
3.3. operacinė rizika – tikimybė patirti nuostolių dėl žmonių, sistemų, netinkamų ar nepavykusių vidaus procesų arba dėl išorės įvykių poveikio, įskaitant teisinę riziką;
3.4. rinkos rizika – tikimybė, kad rinkos kintamieji – palūkanų norma, valiutos kursas, nuosavybės vertybinių popierių, biržos prekių kainos ir kt. – pasikeis taip, kad įmonė dėl sudaryto sandorio patirs nuostolių;
II SKYRIUS
RIZIKOS VALDYMO ORGANIZAVIMAS
5. Įmonės rizikos valdymas turi būti organizuojamas taip, kad atitiktų šiuos pagrindinius principus:
5.1. įmonės rizikos valdymas turi būti grindžiamas geriausia panašaus pobūdžio įmonių rizikos valdymo praktika;
5.5. įmonės rizikos valdymas turi būti organizuojamas taip, kad darbuotojų, kurių profesinė veikla ir (arba) priimami sprendimai gali daryti reikšmingą įtaką įmonės prisiimamos rizikos pobūdžiui ir dydžiui, atlyginimų nustatymo politika ir praktika skatintų patikimą, veiksmingą rizikos valdymą, neskatintų prisiimti rizikos, kuri viršytų įmonės toleruojamos rizikos lygį.
6. Valdymo organai ir personalas, priimdami sprendimus ir vykdydami kasdienę veiklą, turi vadovautis Taisyklių 5 punkte nurodytais principais.
7. Įmonėje privalo būti įdiegta tinkama ir veiksminga rizikos valdymo sistema, užtikrinanti, kad nuolat būtų vertinama ir valdoma įmonei kylanti arba galinti kilti rizika.
8. Įmonės rizikos valdymo sistema turi apimti visų rizikos rūšių (kredito, rinkos, likvidumo, operacinės ir kt.) valdymo strategiją, politiką, rizikos limitų sistemą, kitas rizikos valdymo priemones ir procedūras, rizikos valdymo vidaus kontrolę.
9. Įmonės rizikos valdymo sistema ne rečiau kaip kartą per metus turi būti peržiūrima ir prireikus tobulinama, atsižvelgiant į naujausius tiek vidaus, tiek išorės pokyčius ir atsiradusias naujas rizikos rūšis, kurios turi būti įtrauktos į įmonės rizikos valdymo sistemą.
10. Įmonės valdymo organai nustato, tvirtina ir ne rečiau kaip kartą per metus apsvarsto ir prireikus keičia įmonės rizikos valdymo strategiją. Įmonės rizikos valdymo strategija turi būti sutelkta į ilgalaikių tikslų siekimą ir veiklos tęstinumą.
11. Įmonės valdymo organai yra atsakingi, kad būtų įgyvendinta rizikos valdymo strategija, patvirtinti šios strategijos gyvendinimą reglamentuojantys dokumentai, sukurta, įdiegta ir tobulinama įmonei kylančios arba galinčios kilti rizikos nustatymo, vertinimo, stebėjimo, kontrolės sistema ir procedūros.
12. Įmonės valdymo organai turi užtikrinti, kad įmonėje veiktų aiškiai apibrėžta ir dokumentuose aprašyta rizikos limitų sistema, pagrįsta šiais pagrindiniais principais:
12.2. aiškiai nustatyta, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonė (angl. soft limits);
12.3. aiškiai nustatyta, ar į limitus bus atsižvelgiama ir (ar) jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), ar bus atliekama paskesnioji limitų laikymosi stebėsena (angl. ex-post monitoring);
12.5. aiškiai nustatytos priemonės, kurių bus imtasi, jeigu bus viršyti konkretūs limitai, ir apibrėžta su tuo susijusių darbuotojų atsakomybė;
12.6. jeigu reikia, esami limitai patikslinami arba nustatomi ir pradedami taikyti nauji limitai ir (ar) kiti apribojimai;
13. Įmonėje turi būti reguliariai vertinamas rizikos limitų sistemos ir kitų apribojimų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumas. Patikimumo vertinimo procesas ir rezultatai turi būti aprašyti dokumentuose.
14. Įmonėje turi būti aiškiai apibrėžtos ir dokumentuose aprašytos su rizikos valdymo procesais susijusių padalinių ir (arba) darbuotojų funkcijos, atsakomybė ir tarpusavio bendradarbiavimas.
15. Įmonė turi nuolat vertinti išorės aplinkos poveikį jos veiklai ir likvidumui, imtis tinkamų veiksmų neigiamai įtakai sumažinti (nustatytų limitų, reikalavimų peržiūra ir pan.).
16. Įmonėje turi veikti tinkama vadovų informavimo sistema:
16.1. apie tikėtinus reikšmingus su rizika susijusius pokyčius įmonės valdymo organai turi būti informuojami nedelsiant;
16.2. įmonės valdymo organai turi periodiškai stebėti prisiimtos rizikos lygį ir valdymą, laiku gauti pakankamai išsamią informaciją, kuri leistų įvertinti įmonei kylančią riziką.
III SKYRIUS
RIZIKOS VALDYMO REIKALAVIMAI
18. Kredito rizika. Įmonėje turi būti įdiegta veiksminga kredito rizikos valdymo sistema, apimanti kredito rizikos valdymo strategiją, kredito rizikos valdymo ir vertinimo politiką, kredito rizikos limitų sistemą, kredito rizikos mažinimo priemones, kitas šios rizikos valdymo priemones, procedūras ir procesus, taip pat kredito rizikos valdymo vidaus kontrolę.
19. Įmonės valdymo organai turi patvirtinti įmonės kredito rizikos valdymo dokumentą, kuriame būtų numatyti pagrindiniai kredito rizikos valdymo principai, priimtinas arba nepriimtinas rizikos lygis, dabartinė ir planuojama kredito rizikos struktūra, kredito rizikos valdymo priemonės.
20. Kreditų suteikimo kriterijai, kredito patvirtinimo, pakeitimo ir refinansavimo procesas turi būti pagrįsti ir aiškiai apibrėžti įmonės vidaus dokumentuose.
21. Turi būti aiškiai apibrėžta ir dokumentuose aprašyta, kaip įmonėje organizuojamas ir kontroliuojamas užtikrinimo priemonių vertinimo procesas.
22. Rinkos rizika. Įmonėje turi būti įdiegta veiksminga rinkos rizikos valdymo sistema, apimanti rinkos rizikos valdymo strategiją, valdymo ir vertinimo politiką, rizikos limitų sistemą, kitas šios rizikos valdymo priemones, procedūras ir procesus, taip pat rinkos rizikos valdymo vidaus kontrolę.
23. Įmonė turi įgyvendinti rinkos rizikos valdymo strategiją ir procesus, skirtus visiems svarbiausiems rinkos rizikos šaltiniams ir rinkos rizikos padariniams nustatyti, vertinti ir valdyti.
24. Įmonė turi užtikrinti, kad reguliariai būtų vertinama rizika, kuri jai kiltų dėl rinkos ar, jeigu aktualu, dėl tam tikro rinkos segmento parametrų reikšmingų pokyčių. Parametrų ir prielaidų, pagal kuriuos vertinama rizika, pagrįstumas ir patikimumas turi būti reguliariai peržiūrimi.
25. Įmonės vidaus dokumentuose dėl rinkos rizikos turi būti aprašyta bent:
25.1. atskirų turto grupių pozicijų limitai, kurie turi būti nustatyti siekiant užtikrinti, kad būtų pasiektas pageidaujamas portfelio saugumo, kokybės, likvidumo, pelningumo lygis;
26. Operacinė rizika. Operacinės rizikos valdymas įmonėje turi būti organizuojamas įdiegiant veiksmingą operacinės rizikos valdymo sistemą, kuri apimtų operacinės rizikos prisiėmimo ir valdymo reglamentavimą, operacinės rizikos limitų sistemą, kitas operacinės rizikos valdymo priemones ir procedūras, taip pat operacinės rizikos valdymo vidaus kontrolę. Valdant operacinę riziką taip pat turi būti įvertinti mažos tikimybės ir didelio poveikio įvykiai.
27. Įmonė įvertina operacinę riziką, būdingą visiems produktams, veiklai, procesams ir sistemoms, kurie įmonei reikšmingi ir įtraukiami į operacinės rizikos valdymo sistemą, įskaitant tokias sritis, kaip funkcijų arba veiklos vykdymo perdavimas paslaugų teikėjui (angl. outsourcing), naujo produkto (paslaugos) įdiegimas, informacinių sistemų funkcionavimas.
28. Įmonės valdymo organai privalo užtikrinti, kad įmonės operacinės rizikos valdymo sistema apimtų tokius operacinės rizikos valdymo klausimus, kaip operacinės rizikos šaltinių nustatymas, vertinimas ir stebėjimas, pasirinktų operacinės rizikos valdymo metodų tinkamumo ir pagrįstumo vertinimas, istorinių duomenų apie operacinę riziką kaupimo proceso vertinimas, ir kitus įmonės požiūriu svarbius klausimus.
29. Įmonės operacinės rizikos valdymo sistemoje turi būti vertinami šie pagrindiniai operacinės rizikos šaltiniai:
29.1. darbuotojų veiksmai (darbuotojų klaidos, neteisėti darbuotojų veiksmai (sąmoningai pateikiama neteisinga informacija, piktnaudžiavimas suteiktais įgaliojimais, vagystė, neteisėtos išmokos darbuotojams, netinkamai naudojama konfidenciali informacija, draudžiamų paslaugų teikimas ir kt.);
29.2. procesai (netinkami procesai, pakeitimai, dokumentacija, sistemos, nustatytų limitų ir normatyvų nesilaikymas ir kt.);
29.3. informacinės technologijos (toliau – IT) (pasiekiamumas, patikimumas, saugumas, plėtra, atsekamumas, netinkamas sistemų palaikymas ir kt.);
31. Įmonėje turi būti nustatyti operacinės rizikos įvykių nustatymo, analizės ir pranešimo apie juos procesai.
32. Įmonė turi kaupti istorinius duomenis apie operacinės rizikos įvykius, jų nulemtus nuostolius ir užtikrinti šių duomenų kokybę. Kaupiami duomenys turi apimti bent jau tokias svarbiausias nuostolio įvykio charakteristikas, kaip įvykio data ir trukmė, nuostolio dydis, trumpas įvykio apibūdinimas, įvykio priežastys ir padariniai, veiksmai, kurių buvo imtasi, įmonės priimti sprendimai ir įdiegtos prevencinės priemonės siekiant išvengti panašaus įvykio pasikartojimo ateityje.
33. Įmonėje turi būti parengti ir valdymo organų patvirtinti veiklos tęstinumo planai, siekiant užtikrinti nenutrūkstamą įmonės veiklą ir apriboti nuostolius, jei būtų rimtų veiklos sutrikimų. Šie planai turi būti periodiškai testuojami siekiant įsitikinti, ar jie veiksmingi susidarius kritinei situacijai. Šie planai turi būti peržiūrimi ir atnaujinami atsižvelgiant į verslo aplinkos, rinkos, produktų ir informacinių sistemų pokyčius.
34. Jeigu įmonė nusprendžia įdiegti naują produktą arba finansinę paslaugą, pakeisti esamą produktą arba jų derinį (toliau – naujas produktas), turi būti užtikrinta, kad naujas produktas bus aprašytas, bus nustatyta vidaus kontrolė, įvertinta rizika, IT saugumas, atitiktis teisiniams reikalavimams, finansinis poveikis, veiklos tęstinumas, personalo mokymai ir kt.
35. Įmonėje turi būti įdiegtos tinkamai parengtos IT sistemos, atitinkančios įmonės veiklos pobūdį ir operacijų mastą.
36. Siekiant užtikrinti nenutrūkstamą bei veiksmingą IT sistemų funkcionavimą ir sumažinti operacinę riziką, susijusią su įmonės IT sistemomis, įmonės valdymo organų nustatyta tvarka turi būti įdiegtos ir periodiškai įvertinamos IT sistemų kontrolės ir saugumo užtikrinimo priemonės (administracinės ir techninės), kurios atitiktų gerosios praktikos (pvz.: ISO 27001, ISO 27002, COBIT, ITIL) ir Lietuvos banko nustatytus reikalavimus.
37. Likvidumo rizika. Įmonėje turi būti įdiegta veiksminga likvidumo rizikos valdymo sistema, apimanti likvidumo rizikos valdymo strategiją, likvidumo valdymo politiką, priimtinas likvidumo rizikos limitus, likvidumo rizikos mažinimo priemones, likvidumo išteklių pritraukimo kainos ir naudos paskirstymą, kitas šios rizikos valdymo priemones, procedūras ir procesus, taip pat rizikos valdymo vidaus kontrolę.
38. Likvidumo rizika nustatoma, vertinama ir valdoma vadovaujantis įmonėje patvirtinta likvidumo rizikos valdymo politika, šie procesai turi būti tinkamai reglamentuoti ir organizuoti atsižvelgus į šiuos aspektus:
38.1. siekdama išlaikyti pakankamą likvidumo lygį tiek trumpuoju, tiek ilguoju laikotarpiu, įskaitant pakankamą kasdienį lygį, įmonė turi nuolatos stebėti ir vertinti savo likvidumą;
38.2. tinkamas likvidumo lygis užtikrinamas pagal visas pagrindines įmonės veiklos linijas, verslo subjektus, valiutas, kitus, įmonės nuomone, reikšmingus veiklos aspektus, apskaičiuojant su tuo susijusias sąnaudas ir sudarant tinkamą jų paskirstymo sistemą, įvertinant šių sąnaudų poveikį įmonės veiklos rezultatams;
38.3. įmonė turi parengti lėšų nustatymo, vertinimo, valdymo ir stebėjimo metodikas, kuriose būtų parodomi esami ir numatomi reikšmingi pinigų srautai, susiję su įmonės turtu, įsipareigojimais, nebalansinių straipsnių pozicijomis;
38.4. vertindama pinigų srautus įmonė turi atsižvelgti ir įvertinti turto savybes (gebėjimą generuoti likvidų turtą) – tuo tikslu būtina atskirti įkeistą ir neįkeistą turtą. Vertindama turto gebėjimą generuoti pinigų srautus įmonė turi vertinti sandorių šalių patikimumą, galimus teisinius, reguliavimo arba veiklos apribojimus naudoti šį turtą. Jeigu turtas yra užsienio valstybėse, įmonė turi įvertinti šių valstybių ekonominę ir politinę riziką;
38.5. įmonė turi numatyti likvidumo rizikos mažinimo priemones, parengti alternatyvius likvidumo rizikos mažinimo scenarijus, kad ir nepalankiausiomis sąlygomis galėtų užtikrinti pakankamą likvidumo atsargą, tinkamai diversifikuotą finansavimo struktūrą ir galimybę pasinaudoti finansavimo šaltiniais. Likvidumo rizikos mažinimo priemonės, numatyti alternatyvūs su likvidumo pozicijomis ir rizikos mažinimo priemonėmis susiję scenarijai ir su tuo susiję sprendimai turi būti reguliariai apsvarstomi ir prireikus keičiami;
38.6. atsižvelgdama į alternatyvių likvidumo rizikos mažinimo scenarijų rezultatus įmonė turi koreguoti savo strategiją, likvidumo rizikai valdyti skirtas priemones ir likvidumo rizikos limitus, taip pat parengti nenumatytų atvejų ir likvidumo atkūrimo planus, kuriuose turi būti numatomi likvidumo, problemų sprendimo būdai, jų įgyvendinimo priemonės. Įmonėje nenumatytų atvejų ir likvidumo atkūrimo planus būtina reguliariai testuoti ir atnaujinti remiantis alternatyvių likvidumo rizikos mažinimo scenarijų rezultatais. Įmonė turi iš anksto imtis būtinų veiksmų, siekdama užtikrinti, kad likvidumo atkūrimo planus būtų galima nedelsiant įgyvendinti.